Protección de datos en África: una mirada al progreso de los miembros de OGP

Cubierta de papel de protección de datos de África

11th agosto 2021

La adopción global de la protección de datos legislaciónCrear y aprobar legislación es una de las formas más efectivas de garantizar que las reformas de gobierno abierto tengan efectos duraderos en las prácticas gubernamentales. Especificaciones técnicas: Acto de crear o r... ha sido lento. Solo el 66 por ciento de los países del mundo tienen legislación vigente, mientras que un 10 por ciento adicional tiene proyectos de ley. Los países africanos están detrás de esta tendencia mundial, con solo el 52 por ciento con legislación de protección de datos vigente. De los catorce miembros africanos de OGP, diez estados han promulgado leyes de protección de datos, estos son: Burkina Faso, Cabo Verde, Costa de Marfil, Ghana, Kenia, Liberia, Malawi, Marruecos, Nigeria, Senegal, Seychelles, Sierra Leona, Sudáfrica, y Túnez. Malawi y Nigeria tienen proyectos de ley, y Liberia y Sierra Leona no tienen ninguna ley.

Significativamente, los catorce miembros africanos de OGP reconocen el derecho a la privacidad a nivel nacional, y existe un consenso cada vez mayor de que el derecho (así como el derecho a estar libre de discriminación ilegal, prejuicio o cualquier otra negación del debido proceso) debe evolucionar para incluir consideraciones de protección de datos. Es importante señalar que a lo largo del informe se señaló que la regulaciónLos reformadores del gobierno están desarrollando regulaciones que consagran valores de transparencia, participación y rendición de cuentas en las prácticas gubernamentales. Especificaciones técnicas: Acta de creación o reforma... de protección de datos debe lograr un equilibrio adecuado con importantes derechos humanosUna parte esencial del gobierno abierto incluye proteger las libertades y los derechos sagrados de todos los ciudadanos, incluidos los grupos más vulnerables, y responsabilizar a quienes violan los derechos humanos. T..., como el acceso a la información y libertad de expresiónLos periodistas y activistas son intermediarios fundamentales que conectan a los funcionarios públicos con los ciudadanos y actúan como vigilantes del gobierno, y es necesario proteger sus derechos y su seguridad. Especificaciones técnicas... Más.

Este informe tiene como objetivo comprender y analizar el contexto y las principales barreras para la protección de datos efectiva en los catorce miembros africanos de OGP y hacer recomendaciones informadas que fortalezcan la protección de datos en el continente africano. Al hacerlo, este informe se enfoca en tres áreas temáticas que son de particular interés para OGP: transparenciaDe acuerdo con los Artículos de Gobernanza de OGP, la transparencia ocurre cuando "la información en poder del gobierno (incluidas las actividades y decisiones) es abierta, completa, oportuna y está disponible gratuitamente para el público... Más, rendición de cuentas y participación. Dentro de estas áreas temáticas, se analizaron dieciocho áreas de enfoque, consistentes en mecanismos comunes incluidos en la legislación de protección de datos que permiten un marco eficaz y contribuyen a una mayor transparencia, seguimiento semanaly participación.

A continuación se detalla brevemente un resumen de los resultados y hallazgos del análisis contextual y legislativo en cada área temática.

Para obtener detalles sobre todos los hallazgos y recomendaciones, consulte el informe completo. esta página.

Transparencia

La transparencia es un principio importante de la legislación de protección de datos: genera confianza entre el interesado y el controlador de datos, y faculta al interesado para ejercer control sobre sus datos y tomar decisiones informadas sobre qué proveedores de servicios usar. Además, permite a los interesados buscar reparación si es necesario y trabaja para aumentar la responsabilidad. La legislación de todos los miembros africanos de OGP incluía algunos compromisoLos compromisos de OGP son promesas de reforma creadas conjuntamente por los gobiernos y la sociedad civil y presentadas como parte de un plan de acción. Los compromisos suelen incluir una descripción del problema, una acción concreta... a la transparencia, con cinco miembros que la incluyen explícitamente como condición para el procesamiento legal. Las partes interesadas reconocieron que la transparencia, como mínimo, requiere la publicación de información, específicamente relacionada con los controladores y procesadores de datos.

Dentro de esta área temática, se analizaron cuatro áreas de enfoque, vea los hallazgos y recomendaciones para cada una, a continuación:

El derecho a la notificación
- Doce miembros de OGP otorgan a los interesados el derecho a ser notificados de que se están procesando sus datos personales.
- En ausencia de una notificación por parte de un controlador de datos de que se están procesando los datos personales de un sujeto de datos, es posible que el sujeto de datos no tenga conocimiento del incumplimiento, lo que socava su capacidad para ejercer derechos adicionales.
Notificación de incumplimiento
- Solo cuatro miembros requieren notificación en caso de violación de datos.
- Se señaló que la obligación de notificar a un sujeto de datos en caso de una violación de datos contribuye a una mayor transparencia y permite que un sujeto de datos controle sus datos personales. El texto legal puede socavar el propósito de tal obligación de tres maneras: (1) a través de la ausencia de un plazo prescrito para la notificación; (2) mediante el uso de términos vagos para el período de notificación; y (3) a través de la inclusiónLos gobiernos participantes de OGP están trabajando para crear gobiernos que realmente sirvan a todas las personas. Los compromisos en este ámbito pueden abordar personas con discapacidad, mujeres y niñas, lesbianas, gays, bisexuales, tr... Más de excepciones que permiten la no presentación de informes.
Registros de procesamiento de datos
- Ocho miembros de OGP requieren el desarrollo de un registro de procesamiento de datos, que es un paquete consolidado de información que la autoridad reguladora desarrolla y mantiene. Para ser eficaz, contribuir a la transparencia y permitir el ejercicio de los derechos de los interesados, el registro debe ser accesible, lo que requiere acceso digital.
Iconos de condiciones de servicio
- Ninguno de los miembros requiere el uso de iconos de términos de servicio.

Recomendaciones para fortalecer la transparencia

Proactiva auditoríasLos marcos institucionales y legales son necesarios para garantizar la integridad de la información financiera y el cumplimiento de las normas y procedimientos presupuestarios. Especificaciones técnicas: Estos... de los controladores de datos debe llevarse a cabo para confirmar su cumplimiento con la legislación de protección de datos. Dichas auditorías son útiles para garantizar que los interesados hayan sido notificados de que sus datos personales están siendo procesados, lo que permitirá el ejercicio de derechos adicionales. Se prevé que los miembros serán los agentes de ejecución, aunque sector privadoLos gobiernos también están trabajando para abrir las prácticas del sector privado, incluso a través de la transparencia de los beneficiarios reales, la contratación abierta y la regulación de los estándares ambientales. Especificaciones técnicas... Más los actores también pueden considerar la realización de dichas auditorías.
La obligación de notificar a la autoridad reguladora y a los interesados en caso de incumplimiento debe prescribir plazos específicos y determinados. El uso de plazos vagos está expuesto a abusos y puede conducir al incumplimiento. Se prevé que los miembros serán los agentes de ejecución.
Los registros de procesamiento de datos deben ponerse a disposición del público. Cualquier tarifa prescrita no debe limitar el acceso a ciertos miembros del público. El mecanismo que da acceso al registro debe ser accesible y se recomienda incluir el acceso digital. Se prevé que los miembros serán los agentes de ejecución.
Los mecanismos o procesos que permitan el ejercicio del derecho de acceso a la información deben ser accesibles. Se prevé que los responsables del tratamiento serán los agentes de ejecución.

Responsabilidad

La rendición de cuentas en la protección de datos depende del contexto, lo que dificulta el desarrollo de reglas o estándares uniformes para un marco institucional de rendición de cuentas. Sin embargo, se han incluido ciertas medidas comunes en la legislación de protección de datos de los miembros africanos de OGP, la más destacada de las cuales incluye el nombramiento de una autoridad reguladora encargada de hacer cumplir la ley. La legislación de protección de datos prevé varias medidas y mecanismos de rendición de cuentas que permiten a los diferentes actores responsabilizar a los distintos directores. Este informe explora estos mecanismos en tres relaciones de responsabilidad a continuación:

Mecanismos para que el interesado haga responsable al responsable del tratamiento

Responsabilidad civil
- La eficacia de la responsabilidad civil se ve socavada por la falta de experiencia en la judicialSi bien la mayoría de las reformas de gobierno abierto ocurren dentro del poder ejecutivo, los miembros de OGP están asumiendo cada vez más compromisos para aumentar la apertura del poder judicial. Especificaciones técnicas..., el servicio de policía y la profesión legal.

Mecanismos de la autoridad reguladora para responsabilizar al controlador de datos

El poder de investigar
- Este poder tiene un impacto significativo en la capacidad de una autoridad reguladora para sancionar a las partes que no cumplen y requiere que tenga los recursos y la capacidad necesarios, ya que las investigaciones sobre el incumplimiento implican un alto nivel de experiencia técnica. Esto, a su vez, requiere que la autoridad reguladora cuente con los recursos adecuados con dicha experiencia técnica.
- Nueve de los doce miembros otorgan a las autoridades reguladoras tales poderes de acceso e incautación.
El poder de sancionar
- Las partes interesadas señalaron que una sanción solo será efectiva si es prohibitiva, lo que requiere que la multa sea lo suficientemente alta como para actuar como disuasivo. Cantidades legislativamente bajas debilitan el papel de la autoridad reguladora.
- La legislación de once de los doce miembros prevé sanciones penales y siete de los doce miembros prevén sanciones administrativas que generalmente incluyen la imposición de una multa.
Independencia
- La independencia institucional se ve socavada por preocupaciones relacionadas con el presupuesto, la colaboración y los requisitos de presentación de informes, y la seguridad de la tenencia, lo que a su vez puede socavar la independencia de las decisiones.
Recursos
- Para que la autoridad reguladora funcione con eficacia, se requieren recursos financieros suficientes para contratar miembros del personal debidamente capacitados.

Mecanismos para que el público responsabilice a la autoridad reguladora

Reportes regulares
- La autoridad reguladora debe proporcionar informes disponibles públicamente que permitan a los actores externos responsabilizarla.
- La legislación de nueve de los doce miembros de OGP requiere que la autoridad reguladora presente un informe anual.

Recomendaciones para fortalecer la rendición de cuentas

Todos los actores clave en el ecosistema de rendición de cuentas deben tener la capacidad técnica y los conocimientos necesarios para manejar los asuntos de protección de datos. Esto incluye a miembros de la autoridad reguladora, miembros del servicio de policía, abogados y jueces. Todos estos actores deben estar debidamente capacitados con las habilidades para determinar si se ha producido una violación de la protección de datos y para comprender y hacer cumplir las soluciones adecuadas. Se prevé que los miembros, las autoridades reguladoras y los organismos profesionales serán los actores implementadores.
Deben designarse tribunales especializados, o unidades y registros dentro de los tribunales, para que se pronuncien sobre cuestiones de protección de datos. Se prevé que los miembros serán los agentes de ejecución.
Las sanciones en términos de multas pecuniarias deben ser lo suficientemente elevadas para actuar como disuasivo. Se prevé que los miembros serán los agentes de ejecución.
Debe garantizarse la independencia institucional de la autoridad reguladora a fin de garantizar la independencia de las decisiones; esto requiere un modelo financiero sostenible que asegure la independencia financiera de la autoridad reguladora. Se prevé que los miembros serán los agentes de ejecución.
La autoridad reguladora debe estar debidamente capacitada. Esto requiere fondos suficientes para emplear personal técnicamente calificado. Los miembros de la autoridad reguladora deben considerar formas alternativas de aprovechar las habilidades técnicas, como asociaciones público-privadas, el desarrollo de redes y pasantías. Se prevé que los miembros y las autoridades reguladoras serán los actores implementadores.
La autoridad reguladora debe informar públicamente sobre sus actividades y funciones para permitir que los actores externos la responsabilicen. Se recomienda que dichos informes se publiquen trimestralmente y que incluyan estadísticas e información desglosadas. Se prevé que las autoridades reguladoras serán los agentes de ejecución.

Participación

Esta área temática se refiere a la participación en tres instancias: en primer lugar, la participación y el control de los interesados en el tratamiento de sus datos personales; en segundo lugar, la participación de la autoridad reguladora a nivel nacional a través de su compromiso con las partes interesadas y su capacidad para participar en los desarrollos legislativos y de políticas; y tercero, la participación de la autoridad reguladora a nivel regional a través de su cooperación en asociaciones, redes y organizaciones regionales. Dentro de esta área temática, se analizaron seis áreas de enfoque: el derecho de acceso a los datos personales, el derecho a solicitar la corrección o eliminación de los datos personales, el consentimiento, la participación de las partes interesadas, la formulación de políticas y la participación de la autoridad reguladora.

Participación del interesado

El derecho a acceder a los datos personales
- Este derecho se ve socavado de dos maneras: (1) existe una brecha entre el tipo de información requerida para presentar una queja y el tipo de información a la que tiene acceso el interesado, lo que a su vez socava el derecho del interesado a un recurso efectivo; y (2) se vuelve inaccesible por procesos que son inciertos, son complicados o presentan obstáculos complejos de lenguaje y alfabetización.
- Doce miembros de OGP otorgan a los interesados el derecho a acceder a sus datos personales.

El derecho a solicitar la corrección o eliminación de datos personales
- Estos derechos se basan en el conocimiento del interesado de que un controlador de datos está procesando sus datos personales y, en consecuencia, está habilitado a través de este derecho a solicitar acceso y su derecho de notificación. La vulneración de estos derechos disminuye su capacidad para ejercer el derecho a solicitar la rectificación o supresión de sus datos personales.
- Doce miembros de OGP otorgan a los interesados el derecho a solicitar la corrección o eliminación de sus datos personales.

Consentimiento
- Por lo general, los miembros de OGP no requieren el consentimiento de aceptación.
- Kenia es el único miembro que requiere expresamente su consentimiento.

Participación nacional de la autoridad reguladora

Participación de los Interesados
- La participación efectiva requiere que la autoridad reguladora tenga un mandato transversal para facilitar la participación de múltiples partes interesadas, y requiere que las partes interesadas tengan acceso directo a la autoridad reguladora.
El mandato de la autoridad reguladora de participar en la formulación de políticas
- La autoridad reguladora tendrá la experiencia relevante para guiar la política de protección de datos y su inclusión en el proceso brinda una oportunidad para fortalecer las debilidades que existen en el sistema regulatorio.
- Ocho de los doce miembros están facultados para participar en la política nacional.

Participación regional e internacional de la autoridad reguladora

Participación de la autoridad reguladora en organismos regionales
- La protección de datos efectiva requiere que la autoridad reguladora se integre en asociaciones regionales para ayudar con la coordinación y el desarrollo de jurisprudencia y recursos.

Recomendaciones para fortalecer la participación

Se deben realizar auditorías para determinar a qué información tiene acceso un interesado y qué información se requiere para presentar una queja. Los dos deben alinearse para permitir que el interesado ejerza su derecho a un recurso efectivo. Se prevé que los responsables del tratamiento serán los agentes de ejecución.
Los controladores de datos deben asegurarse de que el proceso que implementan para hacer realidad el derecho de un sujeto de datos a solicitar acceso a sus datos personales sea claro, sea seguro y considere las barreras lingüísticas y de alfabetización contextuales. La ley debe prever requisitos mínimosSe espera que todos los países participantes de OGP se adhieran a los Estándares de Participación y Co-Creación. Cada Estándar incluye requisitos mínimos claros y medibles que todos los participantes de OGP cuentan... que señale un plazo de respuesta, no debe suponer un coste y la información debe facilitarse en un formato inteligible. Se prevé que los controladores de datos y los miembros sean los actores implementadores.
La participación de los interesados se ve socavada por la falta de conocimiento de los derechos de los interesados. Deben llevarse a cabo campañas de concienciación para facilitar la participación de los interesados. Se recomienda que vincular las preocupaciones sobre la protección de datos con los daños de la vida real haga que el contenido sea más accesible. Se prevé que las autoridades reguladoras, los miembros y las organizaciones de la sociedad civil serán los actores implementadores.
La autoridad reguladora debe tener un mandato transversal y la capacidad de facilitar conversaciones entre múltiples partes interesadas. Se prevé que los miembros y las autoridades reguladoras serán los actores implementadores.
La protección de datos debe ser un proceso participativo: para permitir esto, las autoridades reguladoras deben consultar con las partes interesadas antes de publicar documentos regulatorios como notas de orientación. Se prevé que las autoridades reguladoras serán los actores implementadores.
Debería establecerse un organismo o mecanismo que permita una mayor cooperación regional. Se recomienda que dicha coordinación se lleve a cabo a nivel de la Unión Africana y que se establezca una oficina similar a la Junta Europea de Protección de Datos. Dicho organismo podría proporcionar orientación regional a los estados sobre cuestiones de protección de datos. Se prevé que los miembros y la Unión Africana serán los agentes de ejecución.

La información de este informe es al 1 de julio de 2021.

Agradecimientos

OGP desea agradecer a las siguientes partes interesadas que generosamente dieron su tiempo para contribuir a este informe y cuya aportación ha sido invaluable: Alison Tilley, Amrit Labhuram, Anri Van der Spuy, Chawki Gaddes, Fatou Jagne, Gabriella Razzano, 'Gbenga Sesan, Grace Bomu, Hlengiwe Dube, Mugambi Laibuta, Mustafa Mahmoud, Teki Akuetteh Falconer y las cuatro partes interesadas que deseaban permanecer en el anonimato.

Por la redacción de este informe, OGP agradece a Tara Davis de ALT Advisory, con el apoyo de Avani Singh y Wendy Trott. Por las revisiones iniciales del borrador preliminar de este informe, OGP agradece a Michael Power, Joseph Foti, Sandy Arce y Jessica Hickle.

Se puede encontrar un análisis actualizado que cubre los 55 países africanos en el nuevo sitio web de Alt Advisory protección de datos.africa .

Descargas

Filed under: África y Oriente Medio, Administración de datos y privacidad, Nacional, Comunidad OGP, Recursos de políticas, Recomendaciones, Informes, Producto de investigación, Análisis del estado de juego

Comentarios (1)

Amina BYAD Agosto 26, 2021 10 en: 46 am Responder

¿Puede indicar en qué parte de la ley de PD de Kenia se menciona expresamente la opción de participar?